● 디지털 금융 확산으로 신규 비즈니스가 활성화되고 시스템의 복잡성·연계성이 높아짐에 따라 Tech Risk가 금융회사의 주요한 위험관리 대상으로 부각

- 전자금융사고 빈도 측면에서는 외부요인(해킹, 악의적 공격 등)보다는 주로 내부적 원인(시스템·프로그램 결함, 인적 오류 등)에서 비롯되는 장애 사고가 다수를 차지

● 금융회사의 IT 시스템 장애는 ① 인프라 문제, ② 서비스 운영 문제, ③ 인적 오류 문제 등으로 인해 발생

- (① 인프라 문제) 하드웨어(서버, 통신장비, 저장장치 등)의 노후화 또는 화재, 홍수와 같은 천재지변, 시스템 통합과정에서의 문제 등으로 이상 동작이 발생하여 서비스가 지연·중단

- (② 서비스 운영 문제) 예상보다 많은 사용자 및 데이터 유입 증가로 인프라에 과부하가 걸리거나, 모바일뱅킹 접속이 되지 않는 등 서비스 운영상의 문제로 인해 장애 발생

- (③ 인적 오류 문제) 시스템 설정이나 프로그래밍 과정에서 입력 실수로 인해 시스템이 원활하게 구동하지 않거나, 프로그램 오류가 발생

● Tech Risk의 최소화를 위해 금융회사는 ① 실효성 있는 Contingency plan 마련, ② 명확한 R&R 설정, ③ 철저한 품질관리 및 테스트 강화 등을 수행할 필요

- (① 실효성 있는 Contingency plan 마련) 장애 유형별 시나리오 설정과 대응방안을 마련함으로써, 실제 상황 발생 시 신속하고 적재적소의 대응이 가능한 체계를 구축

- (② 명확한 R&R 설정) 금융회사와 외부 용역업체 간 책임소재뿐 아니라 조직 내부의 담당자 구분을 명확화하여, 장애 시 혼란을 경감

- (③ 철저한 품질관리 및 테스트 강화) IT 시스템을 교체하거나 신규서비스를 출시하는 등의 경우, 내부 테스트 관련 규정·프로세스 정비를 통해 버그 발생, 인적 오류 등을 사전에 교정

● Tech Risk에 대한 대응체계가 잘 갖춰져 있더라도, 예상치 못한 부분에서 사고가 발생할 수 있으므로, Zero-trust 관점에서 철저한 점검과 실효성 있는 대응 훈련을 주기적으로 진행하고, 모든 구성원이 IT 장애 위험에 대한 경각심을 가질 필요 
 

작성자: 기업금융·신성장연구실 주성철 수석연구원 (02-2173-0505)